Ransomware চাহিদা প্রদানের আইনি প্রভাব কি?

যদিও সংস্থাগুলি মনে করতে পারে র্যানসমওয়্যার আক্রমণের সময় সর্বোত্তম কৌশল হল আক্রমণকারীর দাবি পূরণ করা, এটি করা তাদের আইনি গরম জলে নামতে পারে। একবার ফেডারেল সরকার জড়িত হয়ে গেলে, মুক্তিপণের চেয়ে আর্থিক প্রতিক্রিয়া আরও তাৎপর্যপূর্ণ হবে। কোম্পানিগুলিকে তাদের সম্পদ রক্ষা করার জন্য এই পরিস্থিতিতে কী করা উচিত এবং এড়ানো উচিত তা এখানে।

অধিকাংশ প্রতিষ্ঠান কি মুক্তিপণ প্রদান করে?

Ransomware আক্রমণ প্রতিটি শিল্পকে ব্যাপকভাবে প্রভাবিত করে। দুর্ভাগ্যক্রমে, তারা আরও গুরুতর হয়ে উঠছে। ঘটনাগুলো' খরচ $400 মিলিয়ন অতিক্রম করেছে 2020 সালে, 2019 মোটের তুলনায় চার গুণ বেশি। এই আক্রমণগুলি মানুষের জীবিকাকে হুমকির মুখে ফেলে, তাই অনেকে মুক্তিপণ দিতে চরম চাপ অনুভব করে৷

আসলে, প্রায় 50% শিকার মুক্তিপণ পরিশোধ করুন। যাইহোক, যদিও বেশিরভাগ আক্রমণকারীদের দাবিতে নতি স্বীকার করে, মাত্র 4% তাদের সমস্ত ডেটা ডিক্রিপ্ট করা এবং অক্ষত ফিরে পায়। যদিও মেনে চলা সর্বোত্তম পদ্ধতির মতো মনে হতে পারে, এটি প্রায়শই পরিশোধ করে না।

মুক্তিপণ প্রদান করা কি অবৈধ?

র্যানসমওয়্যার আক্রমণের সময় মুক্তিপণ প্রদান করা প্রযুক্তিগতভাবে বেআইনি। সর্বোপরি, আক্রমণকারী কোথায় তা খুঁজে বের করা বা তারা কার জন্য কাজ করে তা খুঁজে বের করা প্রায় অসম্ভব - এবং সরকার মার্কিন সংস্থাগুলিকে সন্ত্রাসী গোষ্ঠী বা নিষেধাজ্ঞার অধীনে থাকা দেশগুলিকে অর্থায়ন করে।

বেআইনি হওয়া সত্ত্বেও সংগঠনগুলো মুক্তিপণ দেয় কেন? যদিও অনেকে এর বৈধতা সম্পর্কে জানেন না, কেউ কেউ এটির সাথে যান কারণ তারা বিশ্বাস করেন এটি সেরা পছন্দ। খরচ বিশ্লেষণের পরে, তারা বুঝতে পারে জরিমানা প্রদান করা কম ব্যয়বহুল হতে পারে।

একটি ম্যালওয়্যার আক্রমণ ধারণকারী প্রায় 50 দিন লাগে গড় - এই বর্ধিত ডাউনটাইম একটি ব্র্যান্ডের বিক্রয় এবং খ্যাতি ট্যাঙ্ক করতে পারে। স্থায়ীভাবে তাদের ডেটা হারানোর পরিবর্তে, সরকারী তদন্তের মুখোমুখি হওয়া এবং জনসাধারণের প্রতিক্রিয়া পাওয়ার পরিবর্তে, কেউ কেউ চুপচাপ আক্রমণকারীকে অর্থ প্রদান করে। এটি একটি গণনা করা ঝুঁকির মতো মনে হতে পারে, তবে সম্ভাব্য প্রতিক্রিয়াগুলি সাধারণত এটির মূল্য নয়।

Ransomware আক্রমণের জন্য আইনি বিবেচনা

অনেক স্থানীয় এবং ফেডারেল ম্যান্ডেট সাইবারট্যাক এবং র্যানসমওয়্যারকে ঘিরে। মার্কিন যুক্তরাষ্ট্রে বসবাসকারী বা ব্যবসা করছেন এমন ব্যক্তিদের অবশ্যই এই আইনী প্রয়োজনীয়তাগুলি মেনে চলতে হবে।

এখানে সংস্থাগুলির জন্য প্রাথমিক আইন এবং বিবেচনা রয়েছে:

• স্টেকহোল্ডারদের অবহিত করা: সংস্থাগুলিকে সাধারণত তাদের স্টেকহোল্ডারদের একটি র্যানসমওয়্যার আক্রমণ সম্পর্কে অবহিত করতে হবে। স্থানীয় আইনের উপর নির্ভর করে, তাদের সর্বজনীন বিবৃতি দিতে হতে পারে বা সমস্ত গ্রাহকদের অবহিত করতে হতে পারে।
• মুক্তিপণ প্রদান: ফেডারেল এবং স্থানীয় সরকারগুলির এর বিরুদ্ধে কঠোর নিয়ম রয়েছে কারণ এটি নিরাপত্তার বিষয় - তারা এটিকে অর্থায়ন বা সহায়তা হিসাবে দেখে।
• আইন প্রয়োগকারীকে অবহিত করা: সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) বলে সময়মত রিপোর্টিং বাধ্যতামূলক সমস্ত ransomware ঘটনার জন্য। ভুক্তভোগীদের অবশ্যই প্রাসঙ্গিক মার্কিন সরকারী সংস্থাকে জানাতে হবে।
• গ্রাহকদের অবহিত করা: যদি কোনও র্যানসমওয়্যার আক্রমণ ডেটা সুরক্ষাকে প্রভাবিত করে তবে সংস্থাগুলি অবশ্যই গ্রাহকদের অবহিত করবে৷ সর্বোপরি, আক্রমণকারীরা তাদের ব্যক্তিগত বা আর্থিক তথ্য প্রকাশ করলে তাদের গোপনীয়তা ঝুঁকির মধ্যে পড়ে।

যদিও সঠিক রিপোর্টিং ম্যান্ডেটগুলি রাষ্ট্র এবং শিল্পের দ্বারা পরিবর্তিত হয়, তবে তাদের সকলের জন্য সংস্থাগুলিকে আইন প্রয়োগকারী সংস্থাগুলিকে জানাতে হবে৷ এমনকি যদি মানুষ পরিস্থিতি নিয়ন্ত্রণে রাখে, তবুও তাদের অবশ্যই সংশ্লিষ্ট কর্তৃপক্ষের কাছে তা প্রকাশ করতে হবে।

ফেডারেল সরকারের প্রয়োজনীয়তা কি?

যদিও ফেডারেল সরকারের র‍্যানসমওয়্যার সংক্রান্ত কোনো সুস্পষ্ট, ব্যাপক আইন নেই, তবুও এটি মুক্তিপণ প্রদানকে এক ধরনের লেনদেন বলে মনে করে। এই প্রযুক্তিগততার কারণে, আক্রমণকারীর সাথে জড়িত হওয়া বেআইনি — এটি করার ফলে কঠোর শাস্তি হতে পারে। ইউএস ডিপার্টমেন্ট অফ দ্য ট্রেজারি অফিস অফ ফরেন অ্যাসেটস কন্ট্রোল (ওএফএসি) এই বেশিরভাগ ঘটনার তত্ত্বাবধান করে।

ইন্টারন্যাশনাল ইমার্জেন্সি ইকোনমিক পাওয়ারস অ্যাক্ট (আইইইপিএ) এবং ট্রেডিং উইথ দ্য এনিমি অ্যাক্ট (টিডব্লিউইএ)-এর বিদেশী আর্থিক জড়িতদের বিরুদ্ধে কঠোর নিয়ম রয়েছে। এটা একটি লেনদেন পরিচালনা করা অবৈধ OFAC-এর বিশেষভাবে মনোনীত নাগরিক এবং অবরুদ্ধ ব্যক্তিদের তালিকায় যে কোনও ব্যক্তি বা সত্তার সাথে। এছাড়াও, নিষেধাজ্ঞার অধীনে থাকা ব্যক্তিদের সাথে ব্যবসা করা একটি অপরাধ।

এই আইন এবং আইনগুলি স্পষ্টভাবে মুক্তিপণ প্রদানের বিষয়ে আলোচনা নাও করতে পারে, তবে তারা র্যানসমওয়্যারকে কভার করে। নিষেধাজ্ঞা লঙ্ঘনের ফলে সাধারণত দেওয়ানী জরিমানা হয়, যার অর্থ সংস্থাগুলিকে অবশ্যই মোটা জরিমানা বা নিষ্পত্তি করতে হবে। সরকার যদি বিশ্বাস করে যে তাদের ক্রিয়াকলাপ অপরাধমূলক বা অপরাধমূলকভাবে অবহেলা করা হয়েছে তবে কিছু লোক এমনকি কারাগারের মুখোমুখি হতে পারে।

অত্যন্ত গুরুত্বপূর্ণভাবে, সরকার নোট করে যে এমনকি যারা এই ক্রিয়াকলাপ সম্পর্কে অবগত তারাও আইনি প্রতিক্রিয়ার মুখোমুখি হতে পারে - এটি লোকেদের নাগরিকভাবে দায়বদ্ধ রাখতে পারে যদিও তারা জানে না যে তাদের ক্রিয়াকলাপ অবৈধ। যদি কোনো কোম্পানি আতঙ্কের মধ্যে যায় এবং আক্রমণ হওয়ার সাথে সাথে মুক্তিপণ পরিশোধ করে, তাহলেও তাকে OFAC, CISA এবং অন্যান্য সংস্থার কাছে জবাব দিতে হবে।

স্থানীয় সরকারগুলির প্রয়োজনীয়তাগুলি কী কী?

সংস্থাগুলিকে অবশ্যই মনে রাখতে হবে যে তাদের স্থানীয় সরকারেরও র্যানসমওয়্যার সম্পর্কে একটি অবস্থান রয়েছে - বেশিরভাগ জরিমানা এবং আইনি প্রতিক্রিয়া আরোপ করে। প্রতিটি রাজ্য এবং মার্কিন অঞ্চলের নিজস্ব ডেটা লঙ্ঘন রিপোর্টিং ম্যান্ডেট এবং জরিমানা রয়েছে৷

যদিও প্রতিটি রাজ্যের নির্দিষ্ট আইন আলাদা, প্রতিটি স্টেকহোল্ডারদের অবহিত করতে সত্তা প্রয়োজন এবং আইন প্রয়োগকারী। স্থানীয় সুবিধাগুলি সাধারণত র্যানসমওয়্যার মোকাবেলা করার জন্য সজ্জিত নয়, তাই দায়িত্বটি FBI, CISA বা হোমল্যান্ড সিকিউরিটি বিভাগের মতো ফেডারেল সংস্থাগুলির উপর পড়ে৷

যদিও অনেক রাজ্য মুক্তিপণ প্রদানকে নিরুৎসাহিত করে — কিছু এমনকি র্যানসমওয়্যার আক্রমণকারীদের সাথে যোগাযোগ নিষিদ্ধ করেছে — তাদের জরিমানা সাধারণত ডেটা গোপনীয়তার সাথে সম্পর্কিত। স্থানীয় আইন প্রয়োগকারী এবং পাবলিক সত্ত্বাগুলির ফেডারেল সরকারের মতো ততটা ক্ষমতা নেই, তাই তারা সাধারণত জনগণের ব্যক্তিগত বিষয়ে নিজেদের জড়িত করে না।

তারা এখনও ডেটা লঙ্ঘনের জন্য দ্রুত প্রতিক্রিয়া জানাতে পারে এবং প্রয়োজন মনে করলে জরিমানা প্রদান করবে। থেকে প্রায় 50% আক্রমণকারী র্যানসমওয়্যার আক্রমণ শুরু করার আগে তথ্য চুরি করে, সংস্থাগুলিকে সম্ভবত তাদের রাজ্যের আইনের জবাব দিতে হবে।

কেন সংস্থাগুলি মুক্তিপণ প্রদান করবে না?

সংস্থাগুলি যদি র্যানসমওয়্যারের চাহিদা প্রদান করে তবে তাদের আইনি সমস্যা হবে। যেহেতু ফেডারেল সরকার অর্থপ্রদানকে অপরাধী সত্তার জন্য তহবিল হিসাবে বিবেচনা করে, তাই তারা দ্রুত প্রতিক্রিয়া জানাবে। জরিমানা কয়েক হাজার ডলার থেকে মিলিয়ন পর্যন্ত - প্রায়ই প্রাথমিক মুক্তিপণের চেয়ে আর্থিক আঘাত বেশি।

জরিমানা ছাড়াও, আইন প্রয়োগকারী সংস্থা বিচার বিভাগের কাছে একটি মামলা হস্তান্তর করতে পারে। তারা অসম্মতিমূলক সংস্থাকে আদালতে নিয়ে যেতে পারে, যেখানে আর্থিক এবং সুনামমূলক জরিমানা অনেক বেশি কঠিন হবে।

অধিকন্তু, সরকার যদি দেখে যে একটি ব্যবসা র‍্যানসমওয়্যার অর্থপ্রদান ঢাকতে তার পথের বাইরে চলে গেছে, তবে এটি অপরাধমূলকভাবে দায়বদ্ধ হতে পারে। ফৌজদারি শাস্তি অনেক বেশি গুরুতর এবং — নির্দিষ্টতার উপর নির্ভর করে — এমনকি জেলের সময়ও হতে পারে।

এর পরিবর্তে সংস্থাগুলির কী করা উচিত?

মুক্তিপণ প্রদানের পরিবর্তে, সংস্থাগুলির সংশ্লিষ্ট কর্তৃপক্ষের সাথে যোগাযোগ করা উচিত। 2022 শক্তিশালীকরণ আমেরিকান সাইবারসিকিউরিটি অ্যাক্ট (SAC) বলে যে সমস্ত গুরুত্বপূর্ণ জাতীয় অবকাঠামো সংস্থাগুলিকে অবশ্যই সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সির (CISA) কাছে র্যানসমওয়্যার আক্রমণ প্রকাশ করতে হবে। 72 ঘন্টারও কম সময়ে অথবা শাস্তির সম্মুখীন হতে হবে। যদি শিকার একটি মুক্তিপণ প্রদান করে, টাইমলাইন 24 ঘন্টা সঙ্কুচিত হয়।

যাইহোক, CISA এর উপস্থিতি শুধুমাত্র প্রথম ধাপ। তাদের হোমল্যান্ড সিকিউরিটি বিভাগ, OFAC এর নিষেধাজ্ঞা এবং সম্মতি মূল্যায়ন বিভাগ এবং FBI এর সাইবার টাস্ক ফোর্সের সাথেও যোগাযোগ করা উচিত। এই সংস্থাগুলি সর্বদা র্যানসমওয়্যার আক্রমণের সাথে মোকাবিলা করে এবং সেগুলি পরিচালনা করার সর্বোত্তম উপায় জানে।

Ransomware চাহিদা উপেক্ষা করা সেরা পদ্ধতি

বেশিরভাগ কোম্পানি আতঙ্কিত হয় যখন তারা বুঝতে পারে যে একজন আক্রমণকারী তাদের ডেটা ক্ষতিকারক পেওয়ালের পিছনে লক করে রেখেছে। তবুও, তাদের দাবি পূরণ করা সবচেয়ে খারাপ পন্থাগুলির মধ্যে একটি। আইন প্রয়োগকারী সংস্থার কাছে যাওয়ার পরে একটি সংস্থা নিরাপত্তা এবং গোপনীয়তা জরিমানা পেতে পারে, এটি IEEPA, TWEA, বা শক্তিশালীকরণ আমেরিকান সাইবার নিরাপত্তা আইন লঙ্ঘনের জন্য কয়েক হাজার অর্থ প্রদান করা এড়িয়ে যায়।